<div align="Center"> 
<p><b>Название урока:</b> Проведение атак межсайтовой подделки запросов. </p>
 </div>
 
<p><b>Тема для изучения:</b> </p>
На данном уроке вы научитесь использовать уязвимости межсайтовой подделки запросов (CSRF). 
 <br> 
<div align="Left"> 
<p>
<b>Как работает данный тип атак:</b>
</p>
При проведении атак межсайтовой подделки запросов жертву заставляют каким-либо образом
загрузить страницу содержащую опасную картинку, наподобие той, что представлена ниже:

<pre>&lt;img src="<a href="https://www.mybank.com/me?transferFunds=5000&to=123456">https://www.mybank.com/me?transferFunds=5000&to=123456</a>"/&gt;</pre>

Когда браузер жертвы обрабатывает такую страницу, он автоматически совершает обращение 
к службе "me" сайта www.mybank.com, передавая необходимые злоумышленнику параметры.
Браузер запросит ссылку, ожидая изображение, хотя на самом деле ссылка является функцией перевода средств.

Вместе с запросом, уходящим на сайт банка, будут переданы и cookies клиента. Следовательно,
если в этот момент пользователь будет авторизирован на www.mybank.com, и в его cookies будет хранится
идентификатор активной сессии, служба "me" примет этот запрос за легитимный и 
совершит необходимую злоумышленнику операцию.

Таким образом, атакующий может производить практически все действия, которые способен делать
настоящий пользователь.
</div>
<p><b>Основные цели и задачи:</b> </p>
<!-- Start Instructions -->
Ваша цель — послать в новостную группу письмо, содержащее в себе изображение со
специально сформированным адресом. Картинка должна производить CSRF-атаку,
заставляя браузер обращаться к текущей странице с дополнительным параметром в
URL "transferFunds" с произвольным числовым значением наподобие 5000. Когда вы
отошлёте сообщение, вызовете его текст, и оно отобразится на экране, браузер
автоматически осуществит необходимый запрос.  Если всё сделано верно, то в
главном меню, напротив соответствующего урока, появится зелёная отметка. 
<!-- Stop Instructions -->

